Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense Konfiguration - 2 Netze - 2 DC - 2 Exchange

Mitglied: Jens1982

Jens1982 (Level 1) - Jetzt verbinden

08.09.2018, aktualisiert 14:39 Uhr, 1012 Aufrufe, 16 Kommentare

Hallo Leute,

ich hoffe ihr könnt mir hier weiterhelfen.

Ich habe einen Kunden, der mit seinem bisherigen IT-Dienstleister sehr unzufrieden ist und mich jetzt beauftragt hat das Projekt fertigzustellen.

Es handelt sich um ein Gebäude mit zwei Firmen (ein GF). Firma B ist jetzt gewachsen und soll nun ein eigenes Netzwerk erhalten.
Ich habe die aktuelle Situation mal skizziert.

unbenannt - Klicke auf das Bild, um es zu vergrößern

Firma A hat ein funktionierendes Netzwerk.
Firma B hat nur einen halbwegs funktionierenden DC. Exchange ist noch nicht eingerichtet. Das ist auch gar nicht das Problem.

Beide DC sollen in beiden Netzwerken erreichbar sein. Die DC stellen Dateifreigaben und Drucker bereit, die jeweils von beiden Firmen/Netzen genutzt werden sollen.

Wie bewerkstellige ich das am besten mit pfSense in der skizzierten Situation?


Meine Idee wäre jetzt an beiden DC eine zusätzliche NIC einzurichten und mittels VLAN (über ESXi) beide DC unter einer festen IP in das jeweils andere Netzwerk zu integrieren.
DNS und DHCP werden dann jeweils vom eigenen DC weiterhin gemanagt. Klappt das so? Diese Situation hatte ich noch nicht.

Kann ich beide Exchange auf Port 25 lauschen lassen und jeweils nur die für die Domain bestimmten Mails annehmen lassen? Es gibt ja nur einen Internetanschluss.

Danke im Voraus.
Mitglied: dodo30
08.09.2018 um 15:25 Uhr
Hey,


Zitat von Jens1982:
>Meine Idee wäre jetzt an beiden DC eine zusätzliche NIC einzurichten und mittels VLAN (über ESXi) beide DC unter einer festen IP in das jeweils >andere Netzwerk zu integrieren.
>DNS und DHCP werden dann jeweils vom eigenen DC weiterhin gemanagt. Klappt das so? Diese Situation hatte ich noch nicht.

>Kann ich beide Exchange auf Port 25 lauschen lassen und jeweils nur die für die Domain bestimmten Mails annehmen lassen? E>s gibt ja nur einen >Internetanschluss.
Danke im Voraus.

Ich kann deinem Vorhaben nicht widersprechen,ich würds genau so handhaben , und JA es sollte genauso funktionieren wie du vorhast.
Das die DC untereinander etwas Freigeben, also 2 Domains in 1 Forest? oder 2 Getrennte Forest? würd das dann mit Vertrauensstellung abbilden


ich lass mich liebend gerne eines Besseren belehren ;)
Bitte warten ..
Mitglied: certifiedit.net
08.09.2018 um 16:14 Uhr
Junge, wie gestaltest du das bitte dem Kunden deine Dienste anzubieten, wenn du von Tuten und blasen keine Ahnung hast? Ist ja grauenhaft, damit willst du dich wohl in der Ruhmeshalle der gescheiterten IT-ler als nächster Verewigen, oder?

Such dir einen Partner, der wirklich Ahnung hat, oder gib dem Kunden Bescheid, dass du das auch nicht realisieren kannst. Das wäre das ehrlichste.

Das ganze muss sauber analysiert und projektiert gegliedert werden (das ist dann aber kein Job eines Forumsposts mehr), ansonsten floppst du, genau wie dein Vorgänger.

VG
Bitte warten ..
Mitglied: wiesi200
08.09.2018 um 17:06 Uhr
Hallo,

die beiden Exchange können schon auf dem Port 25 lauschen und das werden sie auch machen. Nur bringt dir das nichts, die können ja nix abholen.

Wenn es 2x die selbe Anschrift gibt weiß der Briefträger auch nicht wo er die Post hin bringen soll.

Hier müsstest du entweder ein Gateway zur Verteilung einbauen oder einen Exchange alles liefern und dann aussortieren und weiterleiten lassen.

Grundsätzlich kann man die Firmen schon separieren aber die Konfiguration ist nicht ganz trivial.
Bitte warten ..
Mitglied: Jens1982
08.09.2018 um 18:10 Uhr
@dodo30

Danke. Sind 2 getrennte.

@certifiedit.net
Ich wollte nur evtl. einen anderen Anhaltspunkt. Oder ob ihr es genau so machen würdet.
Ich soll mit der bestehenden Infrastruktur das machen was ursprünglich geplant war. Es ist nicht auf meinem Mist gewachsen.

Ich hab auch noch nie 2 Exchange Instanzen mit verschiedenen Domains an einem Internetanschluss betrieben.
Er will beide Exchange Instanzen nutzen, da er beide bezahlt hat.

@wiesi200
Werde das mit einem reverse proxy lösen. Das scheint mir die eleganteste Lösung und pfSense scheint das auch zu können.
Bitte warten ..
Mitglied: certifiedit.net
08.09.2018 um 18:25 Uhr
Jens, dann schreib mir eine PN, dann können wir dies gerne komplett gemeinsam auf und umsetzen.

Aber nach der Planung ist das Murks, egal von wessen Mist ;)

Viele Grüße
Bitte warten ..
Mitglied: StefanKittel
08.09.2018 um 22:29 Uhr
Hallo,

ja, kann man so machen.
Ich würde es nicht so machen.

Nur ganz kurz. Es gibt noch sehr viele Fragen die man vorher klären sollte.
Auch wenn es kein großes Projekt ist, es ist doch ein Projekt und jedes Projekt verlangt nach ordentlicher Planung.
Sonst wird das einfach nichts.

Ist auf die Frage warum der aktuelle Dienstleister das nicht umsetzen konnte?
Planungsfehler, Budget, Unfähig?

Ich würde:
- 10G Switch oben kommt ersatzlos weg
- FB kommt ersatzlos weg (Consumer-Technik)
- Eine Firewall für beide Firma (19" Server mit Xeon, RAM und SSD, mind 5x (besser 8x) LAN, Software pfsense)
Je nach Performance gerne mit 10G für die LAN Anschlüsse

1x WAN zum DSL Modem (z.B. Vigor 130)
1x LAN zur Firma A
1x DMZ zur Firma A
1x LAN zur Firma B
1x DMZ zur Firma B

Man kann auch einen großen Switch mit VLAN für beide Firmen nehmen.
Z.B. Cisco 500er. Dann ist man flexibler.

Wenn Mitarbeiter von Firma A und B jeweils auf den Server der anderen Firma zugrifen wollen gibt es 2 Sicherheitskonzepte:
1. Keine Sicherheit, reines IP-Routing und fertig, einfach und wenig sicher
2. Vollständige Sicherheit, die pfsense routet und "firewallt" zwischen den Firma
Damit das performant ist, muss die ordentlich bums haben. eine APU 2C4 reicht hier nicht.

Stefan
Bitte warten ..
Mitglied: aqui
08.09.2018, aktualisiert um 22:48 Uhr
wenn du von Tuten und blasen keine Ahnung hast?
Wie geht den Tuten ???

Ich stimme dem Kollegen Kittel zu und würde es auch genau so machen wie er beschrieben hat.
Es sei denn auch die strikte Trennung der Hardware wäre zwingend vorgeschrieben.
Der 10G Switch ist da in der Tat völlig sinfreier Overkill. Was hat dich da denn bloß geritten bei niedriger Internet Geschw. einen 10G Switch dort sinnlos zu verbraten ? Der wäre im LAN besser aufgehoben.
Vor allem da dann eine Spielzeug FritzBox anzuschliessen krönt das ganze...aber egal.
Mit dem Design des Kollegen Kittel ist der gegenseitige Server Zugriff erheblich einfacher zu gestalten und vor allem sicherer.
Außerdem vermeidet eine zentrale Firewall das Doppelte NAT bei gegenseitigem Zugriff über den WAN Port und das damit verbundene "Aufbohren" der Firewall. (Sicherheit)
Ist Redundanz gefordert kann man die pfSense FW auch clustern.
Nimm dir den Kollegen certifiedit an die Hand dann wird das auch was...
Bitte warten ..
Mitglied: StefanKittel
08.09.2018, aktualisiert um 23:32 Uhr
Hallo,

Zitat von aqui:
wenn du von Tuten und blasen keine Ahnung hast?
Wie geht den Tuten ???
http://muppet.wikia.com/wiki/Honkers
https://www.youtube.com/watch?v=-CwSMc4aKj0

Stichwort Projektplanung.
Die ist wichtig. Alles was man hier verbockt kann man später nicht mehr umsetzen oder es dauert viel länger und wird viel teurer.
Deshalb nimm Dir Jemand an die Hand der über das Fachwissen und vor allem praktische Erfahrung verfügt.
Der muss das Projekt ja nicht umsetzen. Die Planung und Umsetzung sind völlig getrennt. Du kannst es dann auch selber umsetzen.
Wenn ich mir nicht sicher bin, hole ich mir immer Rat von einem Experten. Das kostet nur wenig Geld im Verhältnis und man lernt immer was.

Viele Grüße

Stefan
Bitte warten ..
Mitglied: the-buccaneer
09.09.2018, aktualisiert um 02:05 Uhr
Ist ja schon von gestern und fast alles gesagt... aber was mir noch einfällt ist:

Schau mal bei der Planung, ob nicht beide Exchange besser über einen Smarthost arbeiten und die eingehenden Mails aktiv z.B. mit pullution.net abholen. Je nach Domain / Webspaceprovider macht das für kleine Firmen aus vielerlei Gründen bedeutend mehr Sinn.
Meiner Erfahrung nach kannst du die FB stabil und performant als Internetzugangsbüchse einsetzen und die pfSense dahinter eben als "Exposed Host" definieren. Hast du halt doppeltes NAT, funktioniert in meinen fällen aber mehrfach stabil. (Da ja das vorhandene Equipment verwendet werden soll)

Dass du den Auftrag angenommen hast, ohne einen Plan zur Lösung der Aufgabe zu haben, war mutig.

OT: Tuten ging so, lieber aqui, schon vergessen? https://www.youtube.com/watch?v=KJJW7EF5aVk
@StefanKittel: Die Jungs hatte ich völlig vergessen.

Meep meep!
Buc
Bitte warten ..
Mitglied: Jens1982
09.09.2018, aktualisiert um 10:41 Uhr
@certifiedit.net
Danke, darauf komme ich heute Abend zurück.

@StefanKittel (Level 4)
Ich würde:
- 10 G Switch oben kommt ersatzlos weg --- Über den Switch laufen jeweils Backups der Server. Jede Nacht und von einer Firma zur anderen. Die 2 Synologys hängen mit jeweils 2x 1 G im Netzwerk. Server ebenfalls mit 10 G angebunden.
- FB kommt ersatzlos weg (Consumer-Technik) --- Meine Rede. FirtzBox war sehr teuer, Kunde möchte keine neue Hardware kaufen. Die FitzBox im Domänennetzwerk zu betreiben ist der blanke Horror.
- Eine Firewall für beide Firma (19" Server mit Xeon, RAM und SSD, mind 5x (besser 8x) LAN, Software pfSense)
Je nach Performance gerne mit 10 G für die LAN Anschlüsse --- So viel Bums hätte ich da jetzt nicht rein gepackt. ^^ Lasse mich gerne eine besseren belehren.

@aqui
Der 10 G Switch ist das einzige Sinnvolle in diesem Netzwerk. Dort läuft halt nachts der meiste Traffic durch.
Wobei das Back-up-Konzept auch eher fragwürdig ist.

@the-buccaneer
Das wäre mal noch ein Anhaltspunkt. Vielen Dank.

Naja mutig jetzt nicht. Wir sind ja noch bei: Ich schau mir das mal an.
Schwierig macht das Projekt, dass KEINE neue Hardware angeschafft werden soll / darf. Der alte IT-ler verweigert konsequent die Zusammenarbeit. Es gibt null Dokumentation dazu.
Alles soll mit den eingesetzten Komponenten funktionieren.
Einsehen dass das alles Murks ist wollen sie es nicht. Firma A läuft schon seit fast 3 Jahren stabil.
Bitte warten ..
Mitglied: aqui
09.09.2018 um 10:52 Uhr
Dort läuft halt nachts der meiste Traffic durch.
Na ja...durch die Firewall mit doppeltem NAT und Port Forwarding. Die werden sicher keinen guten 10G Durchsatz haben !
Wenn dann sollte man das ohne NAT machen oder mit einem NAS als Backup was jeweils ein Bein ins eine oder andere Netz hat bzw. im DMZ Segment wenns sicher sein soll.
Kollege Kittel hat ja die richtige Marschrichtung schon vorgegeben....
Und....endlich weiss ich was tuten ist !!!
Bitte warten ..
Mitglied: Vision2015
09.09.2018 um 15:52 Uhr
Moin...
Zitat von Jens1982:

Hallo Leute,

ich hoffe ihr könnt mir hier weiterhelfen.
Klar doch....wir haben im Forum mindestens 1000 Jahre erfahrung...

Ich habe einen Kunden, der mit seinem bisherigen IT-Dienstleister sehr unzufrieden ist und mich jetzt beauftragt hat das Projekt fertigzustellen.
oh... was für ein glück für dich

Es handelt sich um ein Gebäude mit zwei Firmen (ein GF). Firma B ist jetzt gewachsen und soll nun ein eigenes Netzwerk erhalten.
Ich habe die aktuelle Situation mal skizziert.

unbenannt - Klicke auf das Bild, um es zu vergrößern

Firma A hat ein funktionierendes Netzwerk.
noch...
Firma B hat nur einen halbwegs funktionierenden DC. Exchange ist noch nicht eingerichtet. Das ist auch gar nicht das Problem.
äh...sach mal, ist die an deiner skizze noch nix aufgefallen?

Beide DC sollen in beiden Netzwerken erreichbar sein. Die DC stellen Dateifreigaben und Drucker bereit, die jeweils von beiden Firmen/Netzen genutzt werden sollen.
Bitte was? ein DC mit Dateifreigaben?!? wer mach sowas, und du hast nicht gleich STOPP gesagt?

Wie bewerkstellige ich das am besten mit pfSense in der skizzierten Situation?
wie jetzt...


Meine Idee wäre jetzt an beiden DC eine zusätzliche NIC einzurichten und mittels VLAN (über ESXi) beide DC unter einer festen IP in das jeweils andere Netzwerk zu integrieren.
DNS und DHCP werden dann jeweils vom eigenen DC weiterhin gemanagt. Klappt das so? Diese Situation hatte ich noch nicht.

Kann ich beide Exchange auf Port 25 lauschen lassen und jeweils nur die für die Domain bestimmten Mails annehmen lassen? Es gibt ja nur einen Internetanschluss.
...die frage ist jetzt nicht dein ernst, oder ?
nun Kollege Kittel hat das einzigste vernünftige dazu als lösung geschrieben!
was ich mich aber frage ist, wie kannst du einen auftrag annehmen- den du nicht selber ausführen kannst? wenn ein Kunde zu mir sagt "alter IT-Dienstleister sehr unzufrieden" gehen bei mir jedenfalls die Alarmnglocken an... wenn ich deine skitzze vom netz so sehe, hättest du sofort sagen müssen- sorry, Nein das geht so nicht... und ich kann das nicht!

übrigens wir haben viele neue kunden mit "wir sind mit dem alten IT-Dienstleister sehr unzufrieden"
zu 40 % kann ich sagen, der alte IT-Dienstleister hat keine Fehler gemacht, sondern der Kunde, wenn man aus Geldmangel/ Geiz / Besserwisserei anfangen muss zu groben unfug zu bauen, hat das keinen wert... dann trennt man sich besser von dem kunden!
und der geht dann zu einem 28,00 euro in der stunde kistenschieber- der sowiso alles besser kann, als jedes systemhaus!
und der kreislauf geht von vorn los......

ich dir nur einen guten rat geben, werft das ganze konzept in den gulli, und plant neu, so wie es sein soll!
früher oder später wird das ein bumerang.

Frank


Danke im Voraus.
Bitte warten ..
Mitglied: certifiedit.net
09.09.2018, aktualisiert um 16:23 Uhr
nun Kollege Kittel hat das einzigste vernünftige dazu als lösung geschrieben!
was ich mich aber frage ist, wie kannst du einen auftrag annehmen- den du nicht selber ausführen kannst? wenn ein Kunde zu mir sagt "alter IT-
Dienstleister sehr unzufrieden" gehen bei mir jedenfalls die Alarmnglocken an... wenn ich deine skitzze vom netz so sehe, hättest du sofort sagen > müssen- sorry, Nein das geht so nicht... und ich kann das nicht!

übrigens wir haben viele neue kunden mit "wir sind mit dem alten IT-Dienstleister sehr unzufrieden"
zu 40 % kann ich sagen, der alte IT-Dienstleister hat keine Fehler gemacht, sondern der Kunde, wenn man aus Geldmangel/ Geiz / Besserwisserei > anfangen muss zu groben unfug zu bauen, hat das keinen wert... dann trennt man sich besser von dem kunden!
und der geht dann zu einem 28,00 euro in der stunde kistenschieber- der sowiso alles besser kann, als jedes systemhaus!
und der kreislauf geht von vorn los......

1. Superlativ von einzige? Das einzigste, supereinzige oder das allereinzigste? (Ist dann wohl numerisch ~0,999, ~0,998, ~0,997...? )
2. Kollege kittel hat nur mehr oder weniger ausformuliert, was sich alle anderen dachten - ich sprach den Rest von dir pointierter an: Was soll der Mist + das Ding, mit welchem mit Hilfe der Kollegen @aqui dann auch erklärt wurde, was Tuten ist

In Summe aber das gleiche Résumé.

Nach aktueller Skizzierung + Planung wird das nichts.
Bitte warten ..
Mitglied: Vision2015
09.09.2018 um 18:38 Uhr
Moin...

1. Superlativ von einzige? = Mega
du, komm mal bei mich bei, bzw. zu mich in den Pott...
als kölner lernst du da echt noch umgangsprache und kultur...
ich sprach den Rest von dir pointierter an:
alter....jetzt komm mir nicht so....



Frank
Bitte warten ..
Mitglied: certifiedit.net
09.09.2018, aktualisiert um 18:52 Uhr
Alter wenn ich mal in der Ecke sein sollte, warum nicht.

Schönen Abend
Bitte warten ..
Mitglied: Vision2015
09.09.2018 um 19:00 Uhr
Zitat von certifiedit.net:

Alter wenn ich mal in der Ecke sein sollte, warum nicht.

Schönen Abend
ok... die einladung steht

Frank
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Windows Server

2 DC mit unterschiedlichen (Domänen)Namen in einem Netz - geht das?

gelöst Frage von aditzWindows Server16 Kommentare

Hallo Kollegen, ein DC2003 soll jetzt endlich abgelöst werden. Gleichzeitig soll sich auch der Domänenname ändern. Da der alte ...

Router & Routing

2 Router - 1 DSL Zugang - Netz 1 darf nicht in Netz 2

gelöst Frage von mksadmRouter & Routing10 Kommentare

Guten Abend, vorab zur Problemstellung: Wie oben in der Überschrift beschrieben, möchte ich meine beiden Router zusammenhängen/hintereinanderschalten, um 2 ...

Windows Server

Server 2016 als 2. DC

gelöst Frage von technikdealerWindows Server28 Kommentare

Hay Ihr. Ich habe ein Domänencontroller unter Server 2012. Nun hab ich ein Server 2016 aufgesetzt, die AD Rolle ...

Neue Wissensbeiträge
Google Android

Heise: Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 17 StundenGoogle Android7 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 1 TagWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 1 TagInternet1 Kommentar

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Datenschutz
TeamViewer gehackt !
Information von aqui vor 1 TagDatenschutz7 Kommentare

Hat schon einen Grund warum verantwortungsvolle Admins diese Software nicht einsetzen und sie in den meisten größeren Firmen aus ...

Heiß diskutierte Inhalte
Linux Userverwaltung
Ist sudo auf Servern Pflicht?
gelöst Frage von lcer00Linux Userverwaltung13 Kommentare

Hallo zusammen, wir haben für einige Netzwerkdienste einige Debian Server. Auf diesen Servern arbeiten keine Benutzer im eigentlichen sinne. ...

Humor (lol)
Mitarbeiter meldet: VPN funktioniert nicht
gelöst Frage von Epixc0reHumor (lol)13 Kommentare

Servus, einer unserer Mitarbeiter meldete heute, sein VPN funktioniert Zuhause nicht, im LTE Netz aber schon. Per Teamviewer hin ...

Windows 10
Windows am MAC
Frage von LeeX01Windows 1013 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Batch & Shell
Powershell Datum der zuletzt eingespielten Patche bei remote Servern ermitteln
Frage von bensonhedgesBatch & Shell12 Kommentare

Hallo, ich möchte gerne anhand einer Serverliste (bsp. computers.txt) via PS ermitteln, wann derjeweilige Server zuletzt gepatcht wurde (Liste ...